不正アクセスしてくるIPを晒すスレ Part8

>>951
May 5 01:37:45 localhost xinetd[442]: START: telnet pid=1427 from=221.241.120.7
May 5 01:37:45 localhost xinetd[442]: START: telnet pid=1428 from=221.241.120.7
May 5 02:58:02 localhost xinetd[442]: START: telnet pid=1461 from=221.241.120.7
May 5 02:58:02 localhost xinetd[442]: START: telnet pid=1462 from=221.241.120.7
May 5 03:14:00 localhost xinetd[442]: START: telnet pid=1477 from=221.241.120.7
May 5 03:14:01 localhost xinetd[442]: START: telnet pid=1478 from=221.241.120.7
May 5 15:59:08 localhost xinetd[442]: START: telnet pid=1955 from=221.241.120.7
May 5 15:59:08 localhost xinetd[442]: START: telnet pid=1956 from=221.241.120.7
May 5 23:07:11 localhost xinetd[442]: START: telnet pid=2182 from=221.241.120.7
May 5 23:07:11 localhost xinetd[442]: START: telnet pid=2183 from=221.241.120.7

Apacheだけじゃなかった・・・

>>949
残念でした1つズレてしまいましたね。さすが大将軍。

222.122.199.8

211.154.222.56
61.186.252.158
60.190.232.32

すいませんこのＩＰの情報わかりませんか？
IP:203.180.88.45 です
よろしくお願いいたします。

Domain Information: [ドメイン情報]
a. [ドメイン名] MESH.AD.JP
e. [そしきめい] にっぽんでんきかぶしきがいしゃ
f. [組織名] 日本電気株式会社
g. [Organization] NEC Corporation
k. [組織種別] JPNIC会員ネットワーク
l. [Organization Type] JPNIC Member's Network
m. [登録担当者] NK032JP
n. [技術連絡担当者] SK4819JP
p. [ネームサーバ] ns02.mesh.ad.jp
p. [ネームサーバ] ns03.mesh.ad.jp
[状態] Connected (2006/12/31)
[登録年月日] 1994/12/12
[接続年月日] 1995/01/30
[最終更新] 2006/01/01 01:16:12 (JST)

一回リモホ強制表示の板でこいつを注意したら
毎日のように来るorz

>>1
不正アクセスの意味わかってる？

>>955
残念ながらそのＩＰ情報からは何もわかりません。

Whoisの[最終更新]ってIPが変わった日のことですか？

whoisじゃないですか。まぁとにかく
956＞に[最終更新]ってるじゃないですか、何が更新されているのですか？
Ipが変化したのですか？

>>960
最終更新]ってるじゃないですか最終更新]ってるじゃないですか最終更新]ってるじゃないですか

203.131.198.199からPCの電源入れるたびにアクセスがあります。
なんでだろ？

blog.t.livedoor.jpに聞けよ、つか、おまいのブログとかだったりしない？w

>>963
ブログなんて滅相もない。
livedoorに聞いたほうがよさげだね。サンクス

IPアドレス 220.104.3.196
ホスト名 p3196-ipbf05souka.saitama.ocn.ne.jp
IPアドレス
　割当国　※ 日本 (JP)
都道府県 埼玉県
市外局番 --
接続回線 光

IPアドレス 220.104.57.151
ホスト名 p3151-ipad03hiraide.tochigi.ocn.ne.jp
IPアドレス
　割当国　※ 日本 (JP)
都道府県 栃木県
市外局番 --
接続回線 xDSL

で、どうした？

さいたまー

IPアドレス 220.96.156.40
ホスト名 p2040-ipbf01funabasi.chiba.ocn.ne.jp
IPアドレス
　割当国　※ 日本 (JP)
都道府県 千葉県
市外局番 --
接続回線 光

光体操の効果がデてきましたよ。

livedoorblogに問い合わせたらパッタリとアクセスが無くなった。
電源入れるだけで1日に20〜30回はセキュリティ警告があったのに。
しかも問い合わせの返信メールが来ない…
何か変。
でも、無事解決。

218.229.60.136

>>971
よかったな、でもなんか気持ち悪いな
とりあえずなんかのサイト見てライブドア系だったらこまめにキャッシュ消して
クッキーは残さない、いや受け入れないことだな

>>970
サンクス。
クッキーやキャッシュの件、了解しました。

137.189.97.18

某国からポート8080にアクセスされてる
リクエストは"GET http://www.google.com/intl/zh-CN/ HTTP/1.0" 応答404

8080を選んで開けたのは意図的だけど、実験鯖でproxy機能なんか無いっつの

実害無くても腹立つから、いっそのこと404の替わりに、
天安門や法輪功みたいな検閲対象語句を含めた某国政府批判ページで応答してやろうか…？

それいいな。ぜひ作ったら公開してくれ。

d3015d9a.tcat.ne.jp
211.1.93.154:33134

昨日からのアクセスが１００回以上
いい加減にしろ

239.255.255.250
うざすぎ

>>976
ルータのUPnPを止めればいいだろ薄ら馬鹿

>>977
ほんとだ、気付かずに
1時間ぐらい火壁と格闘してたよ、アホだな俺。
ありがとｗ

206.223.150.96

206.223.149.90
banana340.maido3.com

米国から

>>983
そんな餌にｸ(r

>>980
2chの鯖

43.244.161.218
の紹介のSPAMが日に50通くらい来てウザイ。
アドレス同じなのに毎回URL違う。
GMO Internet（interQの運営元）のサービスを使ってる。

218.216.234.205

c-65-96-239-168.hsd1.ma.comcast.net UNKNOWN nobody [10/May/2006:11:37:50 +0900] "USER Administrator" 331 -
c-65-96-239-168.hsd1.ma.comcast.net UNKNOWN nobody [10/May/2006:11:37:50 +0900] "PASS (hidden)" 530 -

15分間で約1800回FTPログイン試行してきた。
だから、AdministratorなんてIDねぇって。

>986
そういうのって大抵は踏み台だろ。sshも多いよ。
たまにアクセスしてきたプロトコルでflooding攻撃してあげてるけど持ち主は気づいてくれるかな？
IDで文章を書いてる。

>>987
な〜る。
IDで文書。。いいねそれｗ

こんどお返ししてあげよう。

>>987-988
持ち主は気付かないと思うよｗ
ってか、気付くようなら最初から踏み台にされたりしないんじゃね？
お前さん方が攻撃者にならなくてもいいでしょ


開けっ放しのポート8080には、米国からIPやリクエスト内容を変えながら数回のアクセス。
顔文字が入ってるリクエスト"GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1"は何かのメッセージか？ｗ

発信元IPは以下。これらも踏み台なのかもしれないけど…
69.15.194.46
61.150.109.73
61.129.117.101

今日
216.129.98.137 - - [16/May/2006:06:11:18 +0900] "GET /a1b2c3d4e5f6g7h8i9/nonexistentfile.php HTTP/1.0" 404 255 "-" "-"
216.129.98.137 - - [16/May/2006:06:11:18 +0900] "GET /adxmlrpc.php HTTP/1.0" 404 255 "-" "-"
216.129.98.137 - - [16/May/2006:06:11:19 +0900] "GET /adserver/adxmlrpc.php HTTP/1.0" 404 255 "-" "-"
216.129.98.137 - - [16/May/2006:06:11:19 +0900] "GET /phpAdsNew/adxmlrpc.php HTTP/1.0" 404 255 "-" "-"
216.129.98.137 - - [16/May/2006:06:11:19 +0900] "GET /phpadsnew/adxmlrpc.php HTTP/1.0" 404 255 "-" "-"
216.129.98.137 - - [16/May/2006:06:11:20 +0900] "GET /phpads/adxmlrpc.php HTTP/1.0" 404 255 "-" "-"
216.129.98.137 - - [16/May/2006:06:11:20 +0900] "GET /Ads/adxmlrpc.php HTTP/1.0" 404 255 "-" "-"
216.129.98.137 - - [16/May/2006:06:11:20 +0900] "GET /ads/adxmlrpc.php HTTP/1.0" 404 255 "-" "-"
216.129.98.137 - - [16/May/2006:06:11:21 +0900] "GET /xmlrpc.php HTTP/1.0" 404 255 "-" "-"
216.129.98.137 - - [16/May/2006:06:11:21 +0900] "GET /xmlrpc/xmlrpc.php HTTP/1.0" 404 255 "-" "-"
216.129.98.137 - - [16/May/2006:06:11:22 +0900] "GET /xmlsrv/xmlrpc.php HTTP/1.0" 404 255 "-" "-"
216.129.98.137 - - [16/May/2006:06:11:22 +0900] "GET /blog/xmlrpc.php HTTP/1.0" 404 255 "-" "-"
216.129.98.137 - - [16/May/2006:06:11:22 +0900] "GET /drupal/xmlrpc.php HTTP/1.0" 404 255 "-" "-"
216.129.98.137 - - [16/May/2006:06:11:23 +0900] "GET /community/xmlrpc.php HTTP/1.0" 404 255 "-" "-"

あと、同じIPで二日おきに
61.129.113.230 - - [16/May/2006:19:24:32 +0900] "GET http://lookfreebies.com/prx1.php HTTP/1.0" 404 255 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"

なんですかこれ？

　

>>991が見えない

>>990
後半の"GET http://〜"は、誰かのIEのproxy設定に入れられてるのでしょう
404を返してるから、実際に踏み台になったのかどうかは分からないです

IEのproxy設定に自鯖のIPとポートを入れて、どこか外部のページを見に行ってみて、
自鯖がproxyとして動かないことを確認しておくのがよいかと

用もないのにGET http://〜はプロクシチェッカだな。
>>990の場合prx1.phpが存在すると200が返るからわかり辛い。
>>993の通りプロクシになってないか確認しておくのが良いかと。

TCP SYN FLOOD ベスト3
40回：207.68.178.16
32回：65.54.195.185
24回：207.68.178.239

>>993
>>994

サンクス

squidは動かしてないけど、念のため串テストやってみた。
とりあえずプロキシとしては動いてないっぽいです。
Apacheが串に化けてたら手に負えないｗ

無駄に8080空けてトップにゴミページ載せようかな・・・

>>996
Apacheはバーチャルホスト設定にして、その一番最初をダミーホストにするだよ。
そうすればIPアドレスでアクセスしてくるそやつらは全部そこ行き。
二番目以降で中身のあるホストを設定するだす。
「バーチャルホスト ダミー」で検索してみりん。

192.168.0.19

>>9
（ ﾟ∀ﾟ）ｱﾊﾊ八八ﾉヽﾉヽﾉヽﾉ ＼ /　＼　/　　＼ /　　＼ /　　＼ /　　＼

支那蓄がウザイとです。
もうね氏ねと――

このスレッドは１０００を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。